Elektronische Signatur Version 1.0 Oktober 2007 - APV

Weitere Magazine

Empfehlungen

Info

4.3.4 Änderungskontrolle (Change Control) APV-Empfehlung: Elektronische Signaturen, Version 1.0 Funktionale Änderungen Bei funktionalen Änderungen an einem bestehenden System ist dafür zu sorgen, dass die Integrität bestehender und zukünftiger Signaturen erhalten bleibt und dass die zugehörigen Berechtigungen unter Kontrolle bleiben. Änderungen an Daten zur Behebung von Störungen Für notwendige Änderungen an fehlerhaften Daten einer GxP-relevanten Applikation, die infolge des Auftretens einer Störung generiert wurden, sind besondere Regelungen zu definieren. Derartige Änderungen dürfen nur im (dokumentierten) Einverständnis mit dem Dateneigentümer erfolgen und sind nach einem definierten Änderungsverfahren abzuwickeln. Dieses ist im allgemeinen in einem standardisierten Verfahren zur Fehlerbehandlung festgelegt (unabhängig von der elektronischen Signatur). Dabei muss umfassend geprüft werden, wohin die signierten Daten vor der Änderung verteilt wurden. Davon ausgehend sind entsprechende Maßnahmen zu treffen (zumindest Information an die Empfänger und Übermittlung der korrigierten Version). Sind freigaberelevante Daten betroffen, so sind die entsprechenden Stellen zu informieren. 4.3.5 Störungen Im Betrieb eines Systems kann es aus unterschiedlichen Gründen zu technischen Störungen kommen. Es ist zu definieren, an welche Stelle eine erkannte oder vermutete Störung zu melden ist, wie der weitere Ablauf der Störungsanalyse und ggf. -beseitigung aussieht und wie hierbei etwaige Einflüsse auf die Prozess-/Produktqualität oder Patientensicherheit ermittelt und berücksichtigt werden. Sollte in Folge einer Störung eine Verletzung der Integrität geleisteter Unterschriften nicht auszuschließen sein, so ist dies ebenfalls als eine Beeinträchtigung der Prozess-/Produktqualität anzusehen. 4.3.6 Abweichungen Eine Abweichung ist die zeitlich begrenzte Verletzung bzw. Nichtbefolgung von in gültigen Dokumenten festgelegten Vorgaben. Die für das System gültige Abweichungsprozedur ist zu definieren. Im Regelfall sind keine spezifischen Aspekte hinsichtlich elektronischer Signaturen zu beachten. 4.3.7 Datensicherung und Wiederherstellung Datensicherung ist die Gesamtheit aller organisatorischen und technischen Vorsorgemaßnahmen gegen Verlust und/oder Verfälschung von Daten aufgrund von Katastrophen, technischen Ursachen, menschlichem Versagen oder mutwilligen Eingriffen. Hierzu sind entsprechende Regelungen zu treffen. Diese sollten u. a. auch sicherstellen, dass im Falle von Integritätsverlusten elektronische Signaturen „wieder hergestellt“ werden können. 4.3.8 Regelmäßige Systemüberwachung (Monitoring) Ein geregeltes Monitoring hilft sicherzustellen, dass ein System während des gesamten Life Cycles ordnungsgemäß in Bezug auf die definierten Anforderungen und Spezifikationen arbeitet. Diese Aktivitäten werden regelmäßig während des normalen Betriebes nach definierten Plänen durchgeführt. Sie sollen die Gegenstände des Monitorings (z. B. Leistung/Stabilität einer Komponente, Sicherheitsalarme), die Monitoring-Methode, vorgegebene Grenzwerte, Maßnahmen bei Überschreiten der Grenzen, die Häufigkeit des Monitorings und die entsprechende Durchführungsdokumentation beschreiben. Das Monitoring leistet einen wesentlichen Beitrag zur Sicherstellung der Integrität der elektronischen Signaturen. 4.3.9 Archivierung Archivierung ist die Gesamtheit aller organisatorischen und technischen Vorsorgemaßnahmen mit dem Ziel, dass Daten inklusive der evtl. zugehörigen elektronischen Signaturen bis zum Ende der gesetzlich bzw. unternehmensintern festgelegten Archivierungsfrist verfügbar sind. Hinsichtlich elektronischer Signaturen bedeutet „Verfügbarkeit“ auch die Möglichkeit der Integritätsprüfung einer Unterschrift. Die Thematik der Archivierung sollte bereits bei der Erstellung der User Requirements beachtet werden. copyright apv APVnews 04/07 27
APV-Empfehlung: Elektronische Signaturen, Version 1.0 4.3.10 Sicherheit und Notfallkonzept Auch in Bezug auf die Integrität elektronischer Signaturen sind Regelungen zu treffen zur Sicherung von Systemen gegen: Informationsabfluss Manipulation Zerstörung Ausfall durch Nachlässigkeit Sabotage Defekte Unglücksfälle Zusätzlich ist für den Notfall (definiert als länger dauernder Systemausfall) ein adäquates Konzept zu erstellen. Mit Blick auf elektronische Signaturen sollte dies auch eine Aussage beinhalten, ob und wie während der Ausfallzeit alternativ ggf. handschriftlich zu unterschreiben ist. 4.3.11 Periodische Überprüfungen Im Rahmen periodischer Überprüfungen wird der Validierungsstand eines Systems bewertet. Hinsichtlich der elektronischen Signatur wird empfohlen, in diesem Zusammenhang die Aktualität der entsprechenden Unterschriftenberechtigungen zu prüfen. 4.4 Außerbetriebnahme Soll ein System außer Betrieb genommen werden, z. B. weil aufgrund der technischen Weiterentwicklung die bestehende Technologie zukünftig nicht mehr verfügbar sein wird, sind hinsichtlich signierter Daten u. a. folgende Varianten denkbar: Valide Migration auf ein Nachfolgesystem Valide Migration auf ein Hilfssystem (z. B. nur für Recherche- und Berichtszwecke) Ausdrucken und „notariell beglaubigen“ Nachsignieren und Zertifikat erneuern Dabei sind folgende Aspekte zu beachten: Einhaltung der gesetzlichen Aufbewahrungsfristen für Daten und Dokumente Dauer der Archivierung vs. Gültigkeitsdauer von elektronischen Signaturen Ggf. Regelung zur Schlüsselverwaltung (z. B. falls Zertifikate vor Ablauf der Archivierungsdauer ungültig werden) 5 Erläuterungen zur Public-Key-Infrastruktur (PKI) Mittels der asymmetrischen Verschlüsselung können Nachrichten im Internet digital signiert und verschlüsselt werden. Allerdings wird hierzu der „öffentliche Schlüssel“ (Public-Key) des Absenders benötigt. Damit sichergestellt ist, dass es sich tatsächlich um den öffentlichen Schlüssel des Absenders handelt und nicht um die Fälschung eines Betrügers, wird eine vertrauenswürdige Stelle (Trust Center) benötigt. Diese arbeitet als Certification Authority (CA) und stellt hierzu Zertifikate („Echtheitsbescheinigungen“) von öffentlichen Schlüsseln aus. Die Verwaltung der Zertifikate durch eine CA wird in einer organisatorisch-technischen Umgebung, einer Public-Key-Infrastruktur (PKI), durchgeführt. Sie besteht aus Technologie, Standards und definierten Sicherheitsanforderungen (Policy). Die Policy definiert u. a. Haftung, Gewährleistung, Organisation, Standards, einzusetzende Technologie und deren Handhabung. Eine PKI stellt Dienstleistungen wie Schlüssel-Management (Schlüsselerstellung, Aktualisierung, Wiedergewinnung, ...), Zertifikat-Management (Erzeugung, Bereitstellung, Erneuerung, Sperrung, ...) oder Zeitstempeldienste zur Verfügung. Zu einer PKI gehören folgende Komponenten: Die Zertifizierungsstelle (Certification Authority – CA) erstellt die digitalen Zertifikate für den Nutzer und verwaltet sie. Die Registrierungsstelle (Registration Authority – RA) verifiziert die Identität und Angaben des Antragstellers. Sie organi - siert die Zertifikatsausgabe im Namen der CA. Der Verzeichnisdienst stellt eine öffentliche Datenbank zur Verfügung, in der Zertifikate geführt werden. Gesperrte Zertifikate werden über eine Sperrliste (Certificate Revocation List – CRL) gekennzeichnet. Eine Alternative zur CRL ist das „Online Certificate Status Protocol“ (OCSP), mit dem der Status eines Zertifikates online überprüft werden kann. Der Zeitstempeldienst bestätigt die Vorlage von digitalen Daten zu einem bestimmten Zeitpunkt – dies ist von besonderer Bedeutung bei Verträgen und Urkunden. Jede Organisation oder jedes Unternehmen, das den internen und/oder externen Datenaustausch sicher gestalten möchte und sich entscheidet, mit Zertifikaten zu arbeiten, kann seine eigene PKI aufbauen und einsetzen. Dabei kann die 28 APVnews 04/07 copyright apv
Seite 1 und 2: Nachrichten und Mitteilungen Offici
Seite 3 und 4: Inhaltsverzeichnis APV-Empfehlung:
Seite 5 und 6: APV-Empfehlung: Elektronische Signa
Seite 25: APV-Empfehlung: Elektronische Signa
Seite 29 und 30: 7 Abkürzungen APV-Empfehlung: Elek
Seite 31 und 32: 10 Anhang Auswahl relevanter Richtl
Seite 33 und 34: §§ AMWHV (§§ der alten PharmBet
Seite 35 und 36: Tab. 3: 21 CFR Part 210/211. §§ A
Seite 37 und 38: Abschnitte Abschnitt II, 2.2: Aufga
Seite 39 und 40: Tab. 6: OECD GLP-Konsensdokumente.
Seite 41: Tab. 8: Arzneimittelgesetz (GCP). A

Elektronische Signatur Version 1.0 Oktober 2007 - APV

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?